DNSBL lookup probleme - SERVFAIL  [GELÖST]

Haben Sie einen Bug entdeckt? Teilen Sie es uns mit.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

DNSBL lookup probleme - SERVFAIL

Post by Ralph »

---------------------------------------------------------------------------
Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
aufgrund der Standard resolv.conf ja

Server-Betriebssystem + Version
Debian 11.5

Eingesetzte Server-Virtualisierung-Technologie
KVM

KeyHelp-Version + Build-Nummer
22.2 (Build 2838)

Problembeschreibung / Fehlermeldungen
Einige (wenige) DNSBL Domains werden hier nicht aufgelöst über 127.0.0.53 z.b. zen.spamhaus.org oder all.spamrats.com
Ich sehe das Problem derzeit nur bei den DNSBL Anbietern, der Mailtransport zeigt nach Prüfung der Logs keine Auffälligkeiten, es gibt zwar rejects aufgrund domain oder hostname not found, aber diese sind legitim (MX geprüft).

Erwartetes Ergebnis
opcode: QUERY, status: NOERROR

Tatsächliches Ergebnis
opcode: QUERY, status: SERVFAIL

Schritte zur Reproduktion
KH ohne eigenes DNS Management (externe NS)
dig all.spamrats.com

Zusätzliche Informationen
Wenn ich die resolv.conf testweise von nameserver 127.0.0.53 auf nameserver 127.0.0.1 ändere, tritt das Problem nicht mehr auf

Code: Select all

dig all.spamrats.com

; <<>> DiG 9.16.33-Debian <<>> all.spamrats.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49971
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 7b4726df23cbef9b01000000639c3fe7a362bbbb2406d407 (good)
;; QUESTION SECTION:
;all.spamrats.com.              IN      A

;; Query time: 264 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Dec 16 10:52:39 CET 2022
;; MSG SIZE  rcvd: 73

Status Details

Code: Select all

cat /etc/resolv.conf
nameserver 127.0.0.53
options edns0 trust-ad
search .

Code: Select all

cat /etc/hosts
127.0.0.1 localhost.localdomain   localhost
127.0.1.1       hostx.mydomain.tld hostx
xxx.xxx.xxx.xxx hostx.mydomain.tld hostx

::1 localhost  ip6-localhost   ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

Code: Select all

resolvectl status
Global
           Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
    resolv.conf mode: foreign
  Current DNS Server: 185.12.64.2
         DNS Servers: 185.12.64.1 185.12.64.2 2a01:4ff:ff00::add:1 2a01:4ff:ff00::add:2
Fallback DNS Servers: 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844

Link 2 (enp1s0)
Current Scopes: none
     Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported

Code: Select all

netstat -luntep|grep resolve
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      102        12062      477/systemd-resolve 
udp        0      0 127.0.0.53:53           0.0.0.0:*                           102        12061      477/systemd-resolve 
Hinweis: Ich verwende eigene externe NS (pdns) und Bind wird noch für lookups verwendet, alle DNS Zonen der Domains sind im KH deaktiviert.

Frage: Bei anderen Systemen (ohne Amavis) verwende ich nur nameserver 127.0.0.1 in der resolv.conf, wäre ein zweiter NS Entrag mit Keyhelp wie folgt kompatibel bzw. wie am besten vorgehen?

Code: Select all

nameserver 127.0.0.53
nameserver 127.0.0.1
options edns0 trust-ad
search .
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: DNSBL lookup probleme - SERVFAIL

Post by Florian »

Hallo,

das hat eigentlich nichts mit Keyhelp zu tun. Die Nameserver werden mittlerweile aus der Netplan Konfig gelesen.

Ich verstehe nicht warum man für das Resolving mittlerweile einen Dienst braucht. Ich bin da radikal und passe meistens die resolv.conf so an wie ich es möchte.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: DNSBL lookup probleme - SERVFAIL

Post by Ralph »

Florian wrote: Fri 16. Dec 2022, 11:49 Hallo,

das hat eigentlich nichts mit Keyhelp zu tun. Die Nameserver werden mittlerweile aus der Netplan Konfig gelesen.

Ich verstehe nicht warum man für das Resolving mittlerweile einen Dienst braucht. Ich bin da radikal und passe meistens die resolv.conf so an wie ich es möchte.
Danke, ich habe das bisher auch nie verwendet, habe mich an Problemlösungen im Forum orientiert wobei immer wieder auf den resolv service hingewiesen wird.
Kann die NS Liste mit 127.0.0.1 erweitert werden ohne das interne Probleme auftreten- verwende ja nur externe NS?
Dann bleibt trotzdem der Punkt warum der lookup error über 127.0.0.53 bei einigen DNSBL auftriit ...

### edit ###
habe die resolve mal erweitert, ist nicht so wie es sein soll aber es funktioniert (mit dem trust-ad vermutlich eher nicht):

Code: Select all

cat /etc/resolv.conf
cat /var/spool/postfix/etc/resolv.conf
#
nameserver 127.0.0.1
nameserver 127.0.0.53
options edns0 trust-ad
search .
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: DNSBL lookup probleme - SERVFAIL

Post by Florian »

Hallo,

ja gewisse DNSBL blockieren z.B. Google DNS, das ist ein bekanntes "Problem"
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: DNSBL lookup probleme - SERVFAIL

Post by Ralph »

Florian wrote: Fri 16. Dec 2022, 15:02 Hallo,

ja gewisse DNSBL blockieren z.B. Google DNS, das ist ein bekanntes "Problem"
OK, habe google mal komplett rausgenommen und auch 127.0.0.1 aus den resolve confs sowie resolved service gestoppt, danach ein service networking restart > dig zen.spamhaus.org > QUERY, status: SERVFAIL
Das Problem triit nur auf wenn der lookup über 127.0.0.53 erfolgt, über 127.0.0.1 auch mit google NS in der systemd resolved funktioniert es:

Code: Select all

dig zen.spamhaus.org

; <<>> DiG 9.16.33-Debian <<>> zen.spamhaus.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1859
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 642853b6d58b287401000000639c80c3c712f04cbe0480fe (good)
;; QUESTION SECTION:
;zen.spamhaus.org.              IN      A

;; AUTHORITY SECTION:
zen.spamhaus.org.       10      IN      SOA     need.to.know.only. hostmaster.spamhaus.org. 2212161428 3600 600 432000 10

;; Query time: 980 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Dec 16 15:29:23 CET 2022
;; MSG SIZE  rcvd: 137


ig all.spamrats.com

; <<>> DiG 9.16.33-Debian <<>> all.spamrats.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52421
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: b7c122906cdda58b01000000639c8228d9913489e3acdb0c (good)
;; QUESTION SECTION:
;all.spamrats.com.              IN      A

;; Query time: 428 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri Dec 16 15:35:20 CET 2022
;; MSG SIZE  rcvd: 73
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: DNSBL lookup probleme - SERVFAIL

Post by Florian »

Hallo,

ich ärgere mich mit systemd-resolved nicht rum. Das ist das Erste was deaktiviert wird, wenn Probleme beim Resolving auftreten.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: DNSBL lookup probleme - SERVFAIL

Post by Ralph »

Habe alles noch einmal getestet mit einer neuen Keyhelp Installation auf Debian11, OK der KH Installer scheint hier nicht in die Konfiguration von resolvd service oder resolvconf einzugreifen. Habe für die Installation mal testweise die NS vom DC durch die google NS in der resolv.conf ersetzt, es läuft kein service für resolvd und das resolvconf package habe ich nach der KH Installation deinstalliert da es über 127.0.0.53 auch keine Domains auflösen kann.
Also, mit statischer resolv.conf und 127.0.0.53 als nameserver kann gar nichts aufgelöst werden, erst wenn ich die resolv.conf auf nameserver 127.0.0.1 ändere können Domains aufgelöst werden.
Bei vorigen Installationen mit Buster gab es keine Probleme, mir ist nur bekannt das bei Debian11 die Bind configs ziemlich verändert wurden und ich nehme an das sich dieses Problem nur zeigt wenn eine Neu Installation (kein Distro Upgrade) durchgeführt wird.
Last edited by Ralph on Fri 16. Dec 2022, 19:01, edited 1 time in total.
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: DNSBL lookup probleme - SERVFAIL

Post by tab-kh »

Ich habe mir jetzt einen kleinen Resolver auf Unbound-Basis erstellt. Das funkioniert prima, der reicht für alle meine Server.
Wermutstropfen: Kein lokaler Cache mehr wie beim Stub-Resolver (127.0.0.53) Aber da der Resolver per kostenlosem Cloud-vLAN angebunden ist, sind die Netzwerklaufzeiten minimal.

Wenn ich den Stub-Resolver laufen lasse und meinen Resolver als Forwarder eintrage (+Cloudflare falls irgendwas mal nicht funktioniert), dann macht systemd-resolved gelegentlich wirre Dinge. Er stuft einen nach dem anderen Resolver (auch Google oder Cloudflare) von den Fähigkeiten her runter, da halt SERVFAIL kommt, wenn Domains vom DNS her kaputt sind aber trotzdem (invalides) DNSSEC benutzen. Deswegen muss ich auf den Stub-Resolver leider verzichten.

Da Unbound offenbar recht wenig Ressourcen frisst, überlege ich, ob ich den nicht direkt auf all meinen Keyhelp-Servern installiere. Einzige Sorge hier, wie der sich mit bind9 verträgt (Port 53?), der ja wohl aus Keyhelp nicht so einfach komplett entfernt werden sollte. Ich habe mir Unbound jetzt auch auf meinem Windows-Desktop und Notebook installiert.

So oder so, auch mit systemd-resolved habe ich auch derzeit schon durch den eigenen kleinen Resolver (2 vCores, 2 GB RAM) die Probleme mit den Blocklisten nicht mehr. Und bin halt von "fremden" Resolvern weitestgehend unabhängig.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: DNSBL lookup probleme - SERVFAIL

Post by 24unix »

tab-kh wrote: Fri 16. Dec 2022, 18:33 Da Unbound offenbar recht wenig Ressourcen frisst, überlege ich, ob ich den nicht direkt auf all meinen Keyhelp-Servern installiere. Einzige Sorge hier, wie der sich mit bind9 verträgt (Port 53?), der ja wohl aus Keyhelp nicht so einfach komplett entfernt werden sollte. Ich habe mir Unbound jetzt auch auf meinem Windows-Desktop und Notebook installiert.
Du kannst
a) Bind nur an die echten IP Adressen binden, und Unbound an 127.0.0.1, oder
b) wie systemd-resolved irgendeine localhost Adresse wie 127.0.0.53 nehmen. Das komplette 127.0.0.0/8 löst auf localhost auf.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: DNSBL lookup probleme - SERVFAIL

Post by Ralph »

tab-kh wrote: Fri 16. Dec 2022, 18:33 Ich habe mir jetzt einen kleinen Resolver auf Unbound-Basis erstellt. Das funkioniert prima, der reicht für alle meine Server.
Wermutstropfen: Kein lokaler Cache mehr wie beim Stub-Resolver (127.0.0.53) Aber da der Resolver per kostenlosem Cloud-vLAN angebunden ist, sind die Netzwerklaufzeiten minimal.

Wenn ich den Stub-Resolver laufen lasse und meinen Resolver als Forwarder eintrage (+Cloudflare falls irgendwas mal nicht funktioniert), dann macht systemd-resolved gelegentlich wirre Dinge. Er stuft einen nach dem anderen Resolver (auch Google oder Cloudflare) von den Fähigkeiten her runter, da halt SERVFAIL kommt, wenn Domains vom DNS her kaputt sind aber trotzdem (invalides) DNSSEC benutzen. Deswegen muss ich auf den Stub-Resolver leider verzichten.

Da Unbound offenbar recht wenig Ressourcen frisst, überlege ich, ob ich den nicht direkt auf all meinen Keyhelp-Servern installiere. Einzige Sorge hier, wie der sich mit bind9 verträgt (Port 53?), der ja wohl aus Keyhelp nicht so einfach komplett entfernt werden sollte. Ich habe mir Unbound jetzt auch auf meinem Windows-Desktop und Notebook installiert.

So oder so, auch mit systemd-resolved habe ich auch derzeit schon durch den eigenen kleinen Resolver (2 vCores, 2 GB RAM) die Probleme mit den Blocklisten nicht mehr. Und bin halt von "fremden" Resolvern weitestgehend unabhängig.
systemd-resolved ist momentan nur eine Notlösung, das Problem ist das 127.0.0.53 nicht alles auflöst ...warum auch immer, sobald 127.0.0.1 in der resolv.conf vorhanden ist, funktioniert es:

Code: Select all

nameserver 127.0.0.1
nameserver 127.0.0.53

Code: Select all

Dec 16 18:24:25 hostx postfix/smtpd[260174]: NOQUEUE: reject: RCPT from cm27.shift-bot.com[37.139.2.134]: 554 5.7.1 Service unavailable; Client host [37.139.2.134] blocked using all.spamrats.com; SPAMRATS IP Addresses See: http://www.spamrats.com/bl?37.139.2.134; from=<core@cm27.shift-bot.com> to=<dxxx@xxx.tld> proto=ESMTP helo=<cm27.shift-bot.com>
ohne 127.0.0.1

Code: Select all

nameserver 127.0.0.53

Code: Select all

Dec 16 09:53:58 host0 postfix/smtpd[1463391]: warning: 21.237.71.109.all.spamrats.com: RBL lookup error: Host or domain name not found. Name service error for name=21.237.71.109.all.spamrats.com type=A: Host not found, try again
Last edited by Ralph on Fri 16. Dec 2022, 19:20, edited 1 time in total.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: DNSBL lookup probleme - SERVFAIL

Post by 24unix »

Ralph wrote: Fri 16. Dec 2022, 18:52 systemd-resolved ist momentan nur eine Notlösung, das Problem ist das 127.0.0.53 nicht alles auflöst ...warum auch immer, sobald 127.0.0.1 in der resolv.conf vorhanden ist, funktioniert es:
Das dürfte an der Config liegen.

/etc/systemd/resolved.conf

Nutze auf allen Systemen systemd-resolved. Als NS habe ich meine drei NS eingetragen, also keine Resolver von irgendwelchen Providern oder Datensammlern.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: DNSBL lookup probleme - SERVFAIL

Post by tab-kh »

Wie nutzt du deine Resolver? DNSStubListener = no oder yes in der /etc/systemd/resolved.conf? Ich derzeit mit "no".
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: DNSBL lookup probleme - SERVFAIL

Post by 24unix »

tab-kh wrote: Fri 16. Dec 2022, 20:06 Wie nutzt du deine Resolver? DNSStubListener = no oder yes in der /etc/systemd/resolved.conf? Ich derzeit mit "no".
Meintest Du mich?

Bei mir steht es auf yes.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Ralph
Posts: 786
Joined: Mon 30. Mar 2020, 16:14

Re: DNSBL lookup probleme - SERVFAIL

Post by Ralph »

tab-kh wrote: Fri 16. Dec 2022, 20:06 Wie nutzt du deine Resolver? DNSStubListener = no oder yes in der /etc/systemd/resolved.conf? Ich derzeit mit "no".
DNSStubListener = yes
Nutze auf allen Systemen systemd-resolved. Als NS habe ich meine drei NS eingetragen, also keine Resolver von irgendwelchen Providern oder Datensammlern.
Das ändert nichts (nach reboot) solange 127.0.0.1 nicht im resolv vorhanden ist lösen es wie gesagt einige wichtige DNSBL nicht auf und gerade hab ich noch festgestellt das es dann auch zu false blockings kommt wir hier mit Spamhaus:

Code: Select all

Dec 16 20:12:46 host0 postfix/smtpd[1588]: NOQUEUE: reject: RCPT from a0-123.smtp-out.eu-west-1.amazonses.com[54.240.0.123]: 554 5.7.1 Service unavailable; Client host [54.240.0.123] blocked using zen.spamhaus.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/162.158.85.214; from=<20221216191238c2e6bacacd434464afbb46fa4560p0eu-C2PN85VRG22OP@bounces.amazon.de> to=<xxx@xxx.tld> proto=ESMTP helo=<a0-123.smtp-out.eu-west-1.amazonses.com>
also legitime Mails werden geblockt
https://multirbl.valli.org/lookup/54.240.0.123.html
Die ist nichtmal bei Spamhaus gelistet
Last edited by Ralph on Fri 16. Dec 2022, 20:39, edited 1 time in total.
tab-kh
Posts: 450
Joined: Thu 22. Apr 2021, 23:06

Re: DNSBL lookup probleme - SERVFAIL

Post by tab-kh »

Ja, solche Geschichten hatte ich auch. Die nächste Mail vom selben Absender 5 Minuten später ging durch und die Adresse war nicht gelistet. Allerdings hatte ich das nur mit der zen-Liste. Keine Ahnung was die da treiben.
Post Reply